Standardní hodnoty zabezpečení Azure pro Azure Bot Service

Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 do Microsoft Azure Bot Service. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Azure Bot Service.

Pokud má funkce relevantní Azure Policy definice, které jsou uvedené v tomto směrném plánu, pomůže vám měřit dodržování předpisů pro ovládací prvky a doporučení srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Ovládací prvky, které se nevztahují na azure Bot Service a ty, pro které se doporučuje doslovné doslovné pokyny, byly vyloučeny. Pokud chcete zjistit, jak Azure Bot Service úplně mapovat na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Bot Service.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-1: Implementace zabezpečení pro interní provoz

Pokyny: Při nasazování prostředků Azure Bot Service musíte vytvořit nebo použít existující virtuální síť. Zajistěte, aby všechny virtuální sítě Azure dodržovaly princip segmentace podniku, který odpovídá obchodním rizikům. Jakýkoli systém, který by mohl mít vyšší riziko pro organizaci, by měl být izolovaný ve své vlastní virtuální síti a dostatečně zabezpečený pomocí skupiny zabezpečení sítě (NSG) nebo Azure Firewall.

Vytvoření skupiny zabezpečení sítě s pravidly zabezpečení: /azure/virtual-network/tutorial-filter-network-network-traffic

Postup nasazení a konfigurace Azure Firewall: /azure/firewall/tutorial-firewall-deploy-portal

Odpovědnost: Zákazník

NS-2: Propojení privátních sítí

Pokyny: Použití Azure ExpressRoute nebo virtuální privátní sítě Azure (VPN) k vytvoření privátních připojení mezi datovými centry Azure a místní infrastrukturou v kolokačním prostředí Připojení ExpressRoute neprocházejí přes veřejný internet a nabízejí větší spolehlivost, rychlejší a nižší latenci než typická připojení k internetu. Pro vpn typu point-to-site a vpn typu site-to-site můžete připojit místní zařízení nebo sítě k virtuální síti pomocí jakékoli kombinace těchto možností VPN a Azure ExpressRoute.

Pokud chcete propojit dvě nebo více virtuálních sítí v Azure, použijte partnerský vztah virtuálních sítí. Síťový provoz mezi partnerskými virtuálními sítěmi je privátní a uchovává se v páteřní síti Azure.

Odpovědnost: Zákazník

NS-4: Ochrana aplikací a služeb před útoky na externí síť

Pokyny: Ochrana prostředků Azure Bot Service před útoky před externími sítěmi, včetně útoků DDoS (Distributed Denial of Service), útoků specifických pro aplikace a nevyžádaných a potenciálně škodlivých internetových přenosů. Pomocí Azure Firewall můžete chránit aplikace a služby před potenciálně škodlivým provozem z internetu a dalších externích umístění. Chraňte své prostředky před útoky DDoS povolením standardní ochrany před útoky DDoS ve virtuálních sítích Azure. Pomocí programu Microsoft Defender for Cloud můžete detekovat rizika chybné konfigurace související s vašimi síťovými prostředky.

Využijte možnosti Web Application Firewall (WAF) ve službě Aplikace Azure Gateway, Azure Front Door a Azure Content Delivery Network (CDN) k ochraně aplikací běžících v Azure Bot Service před útoky aplikační vrstvy.

Odpovědnost: Zákazník

NS-6: Zjednodušení pravidel zabezpečení sítě

Pokyny: Pomocí značek služeb Virtual Network definujte řízení přístupu k síti ve skupinách zabezpečení sítě nebo Azure Firewall nakonfigurovaných pro prostředky Azure Bot Service. Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby (například AzureBotService) do příslušného zdrojového nebo cílového pole pravidla můžete povolit nebo odepřít provoz pro odpovídající službu. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres.

Odpovědnost: Zákazník

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Azure Bot Service používá azure Active Directory (Azure AD) jako výchozí službu pro správu identit a přístupu. Standardizujte Azure AD, abyste mohli řídit správu identit a přístupu vaší organizace v cloudových prostředcích Microsoftu, jako jsou Azure Portal, Azure Storage, Azure Virtual Machines (Linux a Windows), Azure Key Vault, PaaS a aplikace SaaS.

  • prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě

Zabezpečení Azure AD by v rámci postupů vaší organizace v oblasti cloudového zabezpečení mělo mít vysokou prioritu. Azure AD nabízí skóre zabezpečení identit, které pomáhá vyhodnocovat stav zabezpečení identit s ohledem na doporučené osvědčené postupy Microsoftu. S využitím tohoto skóre můžete změřit, nakolik vaše konfigurace odpovídá doporučeným osvědčeným postupům, a zlepšit stav zabezpečení.

Poznámka: Azure AD podporuje externí zprostředkovatele identit, kteří umožňují uživatelům bez účtu Microsoft přihlašovat se ke svým aplikacím a prostředkům s využitím své externí identity.

Odpovědnost: Zákazník

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím

Pokyny: Azure Active Directory (Azure AD) poskytuje správu identit a přístupu k prostředkům Azure, cloudovým aplikacím a místním aplikacím. Správa identit a přístupu se vztahuje na podnikové identity, jako jsou zaměstnanci, a také externí identity, jako jsou partneři, dodavatelé a dodavatelé.

Pomocí Azure AD jednotného přihlašování můžete spravovat a zabezpečit přístup k datům a prostředkům vaší organizace místně i v cloudu. Připojte všechny uživatele, aplikace a zařízení k Azure AD pro zajištění bezproblémového, zabezpečeného přístupu a lepší viditelnosti a řízení.

Odpovědnost: Zákazník

IM-7: Eliminace nezamýšleného prozrazení přihlašovacích údajů

Pokyny: Azure Bot Service umožňuje zákazníkům nasadit nebo spustit kód nebo konfigurace nebo uchovávat data potenciálně s identitami nebo tajnými klíči, doporučuje se implementovat skener přihlašovacích údajů k identifikaci přihlašovacích údajů v kódu nebo konfiguracích nebo trvalých datech. Credential Scanner bude také pobízet k přesunutí odhalených přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

V případě GitHubu můžete k identifikaci přihlašovacích údajů nebo jiné formy tajných kódů v kódu použít funkci nativního skenování tajných kódů.

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Pokyny: Azure Bot Service používá účty Azure Active Directory (Azure AD) ke správě svých prostředků, pravidelné kontrole uživatelských účtů a přiřazení přístupu, aby se zajistilo, že účty a jejich úroveň přístupu jsou platné. Ke kontrole členství ve skupinách, přístupu k podnikovým aplikacím a přiřazení rolí můžete použít Azure AD kontroly přístupu. Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty. Můžete také použít Azure AD Privileged Identity Management k vytvoření pracovního postupu sestavy kontroly přístupu, který usnadňuje proces kontroly.

Kromě toho je možné službu Azure Privileged Identity Management nakonfigurovat tak, aby upozorňovala na vytvoření nadměrného počtu účtů správce a k identifikaci účtů správců, které jsou zastaralé nebo nesprávně nakonfigurované. Poznámka: Některé služby Azure podporují místní uživatele a role, které nejsou spravovány prostřednictvím Azure AD. Tyto uživatele musíte spravovat samostatně.

Odpovědnost: Zákazník

PA-6: Použití pracovních stanic s privilegovaným přístupem

Pokyny: Zabezpečené, izolované pracovní stanice jsou nesmírně důležité pro zabezpečení citlivých rolí, jako jsou správci, vývojáři a obsluha nejdůležitějších služeb. Pro úlohy správy používejte vysoce zabezpečené uživatelské pracovní stanice nebo Azure Bastion. K nasazení zabezpečené a spravované uživatelské pracovní stanice pro úlohy správy použijte Azure Active Directory (Azure AD), Rozšířenou ochranu před internetovými útoky (ATP) v programu Microsoft Defender a/nebo Microsoft Intune. Zabezpečené pracovní stanice se dají centrálně spravovat, aby byla vynucena zabezpečená konfigurace, včetně silného ověřování, základních úrovní softwaru a hardwaru a omezeného logického a síťového přístupu.

Odpovědnost: Zákazník

PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)

Pokyny: Azure Bot Service je integrovaný s řízením přístupu na základě role (RBAC) Azure ke správě prostředků. Azure RBAC umožňuje spravovat přístup k prostředkům Azure prostřednictvím přiřazení rolí. Tyto role můžete přiřadit uživatelům, skupinám instančních objektů a spravovaným identitám. Pro určité prostředky existují předdefinované role, které je možné inventarizovat nebo dotazovat pomocí nástrojů, jako jsou Azure CLI, Azure PowerShell nebo Azure Portal. Oprávnění k prostředkům přiřazená prostřednictvím Azure RBAC by vždy měla být omezená pouze na to, co konkrétní role vyžadují. To doplňuje přístup azure Active Directory (Azure AD) za běhu (JIT) Privileged Identity Management (PIM) a měl by se pravidelně kontrolovat.

Využijte k přidělování oprávnění předdefinované role a vlastní role vytvářejte pouze v případě potřeby.

Co je řízení přístupu na základě role Azure (Azure RBAC) /azure/řízení přístupu na základě role/přehled

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-2: Ochrana citlivých dat

Pokyny: Ochrana citlivých dat omezením přístupu pomocí služby Azure Role Based Access Control (Azure RBAC), řízení přístupu na základě sítě a konkrétních ovládacích prvků ve službách Azure (například šifrování v SQL a dalších databázích).

Aby se zajistilo konzistentní řízení přístupu, všechny typy řízení přístupu by měly být v souladu s vaší podnikovou strategií segmentace. Podniková strategie segmentace by měla vycházet také z umístění citlivých nebo důležitých obchodních dat a systémů.

Pro základní platformu spravovanou Microsoftem platí, že Microsoft považuje veškerý obsah zákazníků za citlivý a zajišťuje ochranu před ztrátou a vystavením zákaznických dat. V zájmu zajištění zabezpečení zákaznických dat v rámci Azure Microsoft implementovat určité výchozí kontrolní mechanismy a funkce ochrany dat.

Odpovědnost: Sdílené

DP-3: Monitorování neautorizovaného přenosu citlivých dat

Pokyny: Monitorujte neautorizovaný přenos dat do umístění mimo dohled a kontrolu podniku. To obvykle zahrnuje monitorování neobvyklých aktivit (velké nebo neobvyklé přenosy), které můžou značit neautorizovanou exfiltraci dat. Azure Storage Advanced Threat Protection (ATP) a Azure SQL ATP může upozorňovat na neobvyklý přenos informací, které můžou znamenat neoprávněné přenosy citlivých informací. Azure Information Protection (AIP) poskytuje možnosti monitorování informací, které byly klasifikovány a označeny. Pokud je to potřeba pro dodržování předpisů ochrany před únikem informací, můžete použít řešení ochrany před únikem informací založené na hostiteli k vynucení detektivů nebo preventivních ovládacích prvků, které brání exfiltraci dat.

Odpovědnost: Zákazník

DP-4: Šifrování citlivých informací při přenosu

Pokyny: Všechny koncové body Azure Bot Service jsou zpřístupněny přes protokol HTTP vynucování protokolu TLS 1.2. S vynuceným protokolem zabezpečení by uživatelé, kteří se pokoušejí volat koncový bod Azure Bot Service, měli dodržovat tyto pokyny:

  • Klientský operační systém (OS) musí podporovat protokol TLS 1.2.- Jazyk (a platforma) používaný k volání HTTP musí jako součást požadavku zadat protokol TLS 1.2. V závislosti na jazyce a platformě se zadání protokolu TLS provádí implicitně nebo explicitně. Aby bylo možné doplnit řízení přístupu, měla by být přenášená data chráněna před útoky mimo pásma (např. zachycení provozu) pomocí šifrování, aby útočníci nemohli data snadno číst nebo upravovat. I když je to volitelné pro provoz v privátních sítích, je to důležité pro provoz v externích a veřejných sítích. V případě provozu HTTP se ujistěte, že se klienti připojující k prostředkům Azure můžou vyjednat protokol TLS verze 1.2 nebo vyšší. Pro vzdálenou správu použijte místo nešifrovaného protokolu protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows). Zastaralé verze a protokoly SSL, TLS a SSH a slabé šifry by měly být zakázané.

Azure ve výchozím nastavení poskytuje šifrování pro přenášená data mezi datovými centry Azure.

Odpovědnost: Sdílené

DP-5: Šifrování citlivých neaktivních uložených dat

Pokyny: Pokud chcete doplnit řízení přístupu, měla by být neaktivní uložená data chráněná před útoky typu mimo pásma (například přístup k podkladovému úložišti) pomocí šifrování. To pomáhá zajistit, aby útočníci nemohli data snadno číst nebo upravovat.

Azure ve výchozím nastavení poskytuje šifrování neaktivních uložených dat. Pro vysoce citlivá data máte možnosti implementovat další šifrování neaktivních uložených uložených dat na všech prostředcích Azure, kde jsou k dispozici. Azure ve výchozím nastavení spravuje šifrovací klíče, ale Azure nabízí možnosti správy vlastních klíčů (klíče spravované zákazníkem) pro určité služby Azure.

V případě potřeby dodržování předpisů u výpočetních prostředků implementujte nástroj třetích stran, jako je řešení ochrany před únikem informací založeného na hostiteli, a vynucujte řízení přístupu k datům i v případě, že se data zkopírují ze systému.

Odpovědnost: Zákazník

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že týmům zabezpečení jsou udělena oprávnění čtenáře zabezpečení v tenantovi Azure a předplatných, aby mohli monitorovat rizika zabezpečení pomocí programu Microsoft Defender for Cloud.

Monitorování bezpečnostních rizik může být odpovědností centrálního bezpečnostního týmu nebo místního týmu v závislosti na struktuře bezpečnostních povinností. Přehledy zabezpečení a bezpečnostní rizika se však v rámci organizace musí vždy agregovat centrálně.

Oprávnění Čtenář zabezpečení je možné přidělit pro celého tenanta (kořenová skupina pro správu) nebo je vymezit na konkrétní skupiny pro správu nebo konkrétní předplatná.

Poznámka: K získání přehledu o úlohách a službách se můžou vyžadovat další oprávnění.

Odpovědnost: Zákazník

AM-2: Zajištění přístupu k inventáři a metadatům prostředků pro bezpečnostní tým

Pokyny: Použití značek u prostředků Azure, skupin prostředků a předplatných k jejich logickému uspořádání do taxonomie Každá značka se skládá z páru název-hodnota. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.

Azure Bot Service nenabízí podporu pro nasazení prostředků založených na Azure Resource Manager a zjišťování pomocí azure Resource Graph.

Odpovědnost: Zákazník

AM-3: Používání jenom schválených služeb Azure

Pokyny: Použití Azure Policy k auditování a omezení služeb, které uživatelé můžou ve vašem prostředí zřídit. Pomocí Azure Resource Graphu se můžete dotazovat na prostředky v rámci jejich předplatných a zjišťovat je. Pomocí Azure Monitoru můžete také vytvořit pravidla pro aktivaci upozornění při zjištění neschválené služby.

Odpovědnost: Zákazník

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-1: Povolení detekce hrozeb pro prostředky Azure

Pokyny: Azure Bot Service neposkytuje nativní možnosti pro monitorování bezpečnostních hrozeb souvisejících s prostředky.

Přeposílejte všechny protokoly z Azure Bot Service na siEM, které je možné použít k nastavení vlastních detekcí hrozeb. Ujistěte se, že monitorujete různé typy prostředků Azure pro potenciální hrozby a anomálie. Zaměřte se na získávání vysoce kvalitních výstrah, abyste snížili falešně pozitivní výsledky pro analytiky, aby je mohli řadit. Výstrahy můžou být zdrojem dat protokolu, agentů nebo jiných dat.

Odpovědnost: Zákazník

LT-2: Povolení detekce hrozeb pro správu identit a přístupu v Azure

Pokyny: Azure Active Directory (Azure AD) poskytuje následující protokoly uživatelů, které se dají zobrazit v Azure AD generování sestav nebo integraci se službou Azure Monitor, Microsoft Sentinel nebo jinými nástroji pro monitorování a monitorování pro sofistikovanější případy použití monitorování a analýzy:

  • Přihlášení – Sestava přihlášení poskytuje informace o využití spravovaných aplikací a aktivitách přihlašování uživatelů.
  • Protokoly auditu – Zajišťuje sledovatelnost prostřednictvím protokolů všech změn provedených různými funkcemi v rámci Azure AD. Mezi příklady protokolů auditu patří změny jakýchkoli prostředků v rámci Azure AD, jako jsou přidání nebo odebrání uživatelů, aplikací, skupin, rolí nebo zásad.
  • Riziková přihlášení – Rizikové přihlášení je indikátorem pokusu o přihlášení, který mohl provést někdo, kdo není legitimním vlastníkem uživatelského účtu.
  • Uživatelé označení příznakem rizika – Rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožený.

Microsoft Defender for Cloud může také upozorňovat na určité podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření a zastaralé účty v předplatném. Kromě základního monitorování hygieny zabezpečení může modul Microsoft Defender for Cloud Threat Protection shromažďovat také podrobnější výstrahy zabezpečení z jednotlivých výpočetních prostředků Azure (jako jsou virtuální počítače, kontejnery, app service), datové prostředky (například SQL DB a úložiště) a vrstvy služeb Azure. Tato funkce umožňuje zobrazit anomálie účtů v jednotlivých prostředcích.

Odpovědnost: Zákazník

LT-3: Povolení protokolování pro síťové aktivity Azure

Pokyny: Povolte a shromážděte protokoly prostředků skupiny zabezpečení sítě ( NSG), protokoly toku NSG, protokoly Azure Firewall a protokoly Web Application Firewall (WAF) pro účely analýzy zabezpečení, které podporují vyšetřování incidentů, proaktivního vyhledávání hrozeb a generování výstrah zabezpečení. Protokoly toku můžete odeslat do pracovního prostoru služby Azure Monitor Log Analytics a pak použít Traffic Analytics k poskytování přehledů.

Azure Bot Service nevytvářet ani zpracovávat protokoly dotazů DNS, které by bylo potřeba povolit.

Odpovědnost: Zákazník

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Protokoly aktivit, které jsou automaticky dostupné, obsahují všechny operace zápisu (PUT, POST, DELETE) pro prostředky azure Bot Services s výjimkou operací čtení (GET). Protokoly aktivit se dají použít k vyhledání chyby při řešení potíží nebo monitorování toho, jak uživatel ve vaší organizaci upravil prostředek.

Azure Bot Service aktuálně nevytvářet protokoly prostředků Azure.

Odpovědnost: Zákazník

LT-5: Centralizace správy a analýz protokolu zabezpečení

Pokyny: Centralizované protokolování úložiště a analýzy pro povolení korelace Pro každý zdroj protokolů se ujistěte, že jste přiřadili vlastníka dat, pokyny k přístupu, umístění úložiště, jaké nástroje se používají ke zpracování a přístupu k datům, a požadavky na uchovávání dat. Ujistěte se, že integrujete protokoly aktivit Azure do centrálního protokolování. Ingestování protokolů prostřednictvím služby Azure Monitor za účelem agregace dat zabezpečení generovaných zařízeními koncových bodů, síťovými prostředky a dalšími systémy zabezpečení Ve službě Azure Monitor můžete pomocí pracovních prostorů Služby Log Analytics dotazovat a provádět analýzy a používat účty Azure Storage pro dlouhodobé a archivní úložiště.

Kromě toho povolte a připojte data do Microsoft Sentinelu nebo siEM jiného výrobce.

Mnoho organizací se rozhodne používat Microsoft Sentinel pro "horká" data, která se používají často, a Azure Storage pro "studená" data, která se používají méně často.

Odpovědnost: Zákazník

LT-6: Konfigurace uchovávání úložiště protokolů

Pokyny: Ujistěte se, že všechny účty úložiště nebo pracovní prostory služby Log Analytics používané k ukládání protokolů azure Bot Service mají nastavené období uchovávání protokolů podle předpisů vaší organizace.

Ve službě Azure Monitor můžete nastavit dobu uchovávání pracovního prostoru služby Log Analytics podle předpisů vaší organizace. Pro dlouhodobé a archivní úložiště používejte účty pracovního prostoru Azure Storage, Data Lake nebo Log Analytics.

Odpovědnost: Zákazník

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Microsoft udržuje časové zdroje pro většinu služeb Azure PaaS a SaaS. Pokud nemáte konkrétní požadavek, použijte pro synchronizaci času výchozí server NTP od Microsoftu. Pokud potřebujete vystát vlastní server protokolu NTP (Network Time Protocol), ujistěte se, že zabezpečíte port služby UDP 123. Všechny protokoly vygenerované prostředky v Rámci Azure poskytují časové razítko s časovým pásmem určeným ve výchozím nastavení.

Odpovědnost: Microsoft

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-8: Provádění pravidelné simulace útoku

Pokyny: Podle potřeby provádějte testování průniku nebo aktivity červeného týmu na svých prostředcích Azure a zajistěte nápravu všech kritických zjištění v oblasti zabezpečení. Postupujte podle pravidel zapojení testování průniku cloudových služeb Microsoftu (Microsoft Cloud Penetration Testing), abyste měli jistotu, že testy průniku neporušují zásady Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.

Odpovědnost: Sdílené

Zálohování a obnovy

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.

BR-1: Zajištění pravidelných automatizovaných záloh

Pokyny: Ujistěte se, že zálohujete systémy a data a udržujete provozní kontinuitu po neočekávané události. To by mělo být definováno všemi cíli cíle bodu obnovení (RPO) a plánovanou dobou obnovení (RTO). Povolte Azure Backup a nakonfigurujte zdroj záloh (např. virtuální počítače Azure, SQL Server, databáze HANA nebo sdílené složky), a také požadovanou frekvenci a dobu uchovávání.

Pro vyšší úroveň ochrany můžete povolit geograficky redundantní úložiště, abyste mohli replikovat zálohovaná data do sekundární oblasti a obnovit pomocí obnovení mezi oblastmi.

Odpovědnost: Zákazník

BR-2: Šifrování zálohovaných dat

Pokyny: Ujistěte se, že vaše zálohy jsou chráněné před útoky. To by mělo zahrnovat šifrování záloh, které chrání před ztrátou důvěrnosti.

Pro místní zálohy pomocí Azure Backup se šifrování neaktivních uložených dat poskytuje pomocí hesla, které zadáte. U pravidelných záloh služeb Azure se zálohovaná data automaticky šifrují pomocí klíčů spravovaných platformou Azure. Zálohy můžete zašifrovat pomocí klíče spravovaného zákazníkem. V tomto případě se ujistěte, že klíč spravovaný zákazníkem v trezoru klíčů je také v oboru zálohování.

K ochraně záloh a klíčů spravovaných zákazníkem můžete použít řízení přístupu na základě rolí v Azure Backup, Azure Key Vault nebo jiných prostředcích. Kromě toho můžete povolit pokročilé funkce zabezpečení, které před úpravou nebo odstraněním záloh vyžadují vícefaktorové ověřování.

Odpovědnost: Zákazník

BR-3: Ověření všech záloh včetně klíčů spravovaných zákazníkem

Pokyny: Pravidelně se ujistěte, že můžete obnovit zálohované klíče spravované zákazníkem.

Odpovědnost: Zákazník

BR-4: Zmírnění rizika ztracených klíčů

Pokyny: Ujistěte se, že máte zavedená opatření, abyste zabránili ztrátě klíčů a obnovili je. Povolte v Azure Key Vaultu obnovitelné odstranění a ochranu před vymazáním, aby byly klíče chráněné proti náhodnému nebo zlomyslnému odstranění.

Odpovědnost: Zákazník

Další kroky